Разрешить загрузку ресурсов HTTP через HTTPS
Предположим, что мой сайт находится по HTTPS, и мне нужно загрузить ресурс CSS или Object из HTTP, как я могу это сделать?
Content-Security-Policyв заголовки ответов на веб-сайтах HTTPS, но я точно не знаю, как это сделать. Может кто - нибудь дать мне решение?1 ответ:
Нет никакого решения. Современные браузеры будут запрещать использование ресурсов, не связанных с https, на страницах, обслуживаемых https, потому что таким образом вы эффективно подрываете модель безопасности https. CSP не поможет, потому что он не устраняет проблему. Ваш единственный выбор-либо обслуживать сайт по протоколу http, либо использовать прокси-серверы с внешних сайтов, отличных от https, на вашем собственном сайте. Но обратите внимание, что последний вариант может также повлиять на модель безопасности, потому что теперь эти внешние ресурсы рассматриваются как исходящие от того же самого домен как ваш собственный контент и, таким образом, может злоупотреблять той же политикой происхождения.